Volver al blog
iso 27001 chileley de datos personales chileprotección de datos empresascumplimiento normativosgsi

ISO 27001 vs Ley de Datos Personales: ¿es suficiente con uno?

Diferencias y complementariedad entre ISO 27001 y la nueva ley de datos personales en Chile. Por qué no son sustitutos y cómo trabajan juntos.

FideliNorm | MAC Consultores

ISO 27001 vs Ley de Datos Personales: ¿es suficiente con uno?

Una de las preguntas más frecuentes que recibimos en FideliNorm — MAC Consultores desde la publicación de la nueva Ley de Datos Personales (Ley N° 21.719) es esta: "Mi empresa ya está certificada en ISO 27001, ¿no estoy cubierto?" Y al revés también: "Si cumplo con la ley, ¿necesito certificarme en ISO 27001?"

La respuesta corta es: no son sustitutos, son complementos. Y entender por qué hace toda la diferencia entre invertir bien en cumplimiento normativo y duplicar esfuerzos por mala asesoría.

En este artículo desentrañamos las diferencias entre ISO 27001 Chile y la ley de datos, mostramos cómo se complementan y explicamos por qué las empresas que apuntan a un cumplimiento robusto necesitan ambos.

La diferencia conceptual: norma vs. ley

Antes de entrar en detalles técnicos, hay una diferencia de naturaleza que es clave entender.

ISO 27001 es una norma: un estándar técnico voluntario, internacional, que define cómo construir un Sistema de Gestión de Seguridad de la Información (SGSI). La cumple quien quiere, generalmente porque le aporta credibilidad comercial, le exigen sus clientes corporativos o quiere ordenar su gestión interna.

La Ley 21.719 es una ley: una norma jurídica obligatoria, dictada por el Congreso, con sanciones administrativas, civiles y reputacionales para quienes no la cumplan. La cumple toda empresa que trate datos personales, le guste o no.

Esta diferencia tiene tres consecuencias prácticas:

  1. Universo de aplicación: ISO 27001 puede aplicarse a cualquier información (no solo personal). La ley aplica únicamente a datos personales.
  2. Carácter obligatorio: ISO 27001 es voluntaria. La ley es obligatoria.
  3. Sanciones: ISO 27001 contempla la pérdida de la certificación. La ley contempla multas de hasta 20.000 UTM.

Qué cubre ISO 27001 (y qué no)

ISO 27001 es la principal norma internacional en materia de seguridad de la información. Su alcance está definido por el Anexo A, que contiene 93 controles organizados en cuatro grandes grupos:

  • Controles organizacionales (políticas, roles, gestión de proveedores).
  • Controles de personas (concientización, contratos de confidencialidad).
  • Controles físicos (acceso a oficinas, gestión de equipos).
  • Controles tecnológicos (cifrado, control de accesos, respaldos, monitoreo).

Una empresa certificada en ISO 27001 tiene, entre otras cosas:

  • Un análisis de riesgos documentado y mantenido.
  • Políticas de seguridad formales y comunicadas.
  • Procedimientos de gestión de incidentes y continuidad.
  • Métricas, auditorías internas y revisiones por la dirección.
  • Una mejora continua estructurada (ciclo PDCA).

Lo que ISO 27001 NO cubre

Aquí viene la parte importante: ISO 27001 no aborda muchos aspectos centrales de la protección de datos desde la óptica de derechos del titular.

  • No regula el consentimiento ni las bases legales de tratamiento.
  • No define derechos ARCOPOL (acceso, rectificación, cancelación, oposición, portabilidad, olvido, limitación).
  • No establece plazos de respuesta a solicitudes de titulares.
  • No regula transferencias internacionales desde una perspectiva legal.
  • No exige avisos de privacidad ni informa a los titulares.
  • No contempla la figura del DPD ni sus funciones.

En síntesis: ISO 27001 te dice cómo proteger la información que ya decidiste manejar. La Ley 21.719 te dice qué información puedes manejar, bajo qué condiciones y qué derechos tienen las personas sobre ella.

Qué exige la Ley de Datos Personales (y qué no)

La Ley 21.719 establece un marco de protección de datos empresas que abarca varias dimensiones:

Dimensión sustantiva (qué puedes hacer)

  • Principios: licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad.
  • Bases de licitud: consentimiento, contrato, obligación legal, interés legítimo, etc.
  • Categorías especiales: datos sensibles, datos de menores, datos biométricos.

Dimensión de derechos (qué pueden exigir las personas)

  • Acceso, rectificación, cancelación, oposición.
  • Portabilidad, derecho al olvido, limitación.
  • Plazos de respuesta y procedimientos.

Dimensión organizativa (cómo te organizas)

  • Designación del DPD cuando corresponde.
  • Registro de actividades de tratamiento.
  • Evaluaciones de impacto (DPIA) para tratamientos de alto riesgo.

Dimensión técnica (cómo proteges)

  • Medidas técnicas y organizativas adecuadas al riesgo.
  • Notificación de brechas de seguridad en 72 horas.
  • Seguridad por diseño y por defecto.

Lo que la ley NO cubre

La ley es deliberadamente principista en la dimensión técnica: establece que las medidas deben ser "adecuadas al riesgo", pero no prescribe controles específicos. ¿Qué cifrado usar? ¿Qué frecuencia de respaldos? ¿Cómo segmentar redes? La ley no responde. ISO 27001 sí.

La complementariedad: dónde se cruzan y dónde no

Si superpusiéramos los requisitos de ISO 27001 y de la Ley 21.719 sobre un mismo plano, veríamos tres zonas:

Zona 1: Solo ISO 27001

  • Continuidad de negocio para información no personal.
  • Seguridad física de instalaciones críticas.
  • Gestión de proveedores tecnológicos.
  • Métricas y auditorías internas formales.

Zona 2: Solo Ley de Datos Personales

  • Avisos de privacidad y consentimientos.
  • Derechos ARCOPOL.
  • Transferencias internacionales y mecanismos legales.
  • Responsabilidad civil ante titulares.
  • Nombramiento y funciones del DPD.

Zona 3: Intersección (donde una refuerza a la otra)

  • Análisis de riesgos: ambas lo exigen, con metodologías compatibles.
  • Medidas de seguridad técnicas: ISO 27001 las prescribe, la ley las exige.
  • Gestión de incidentes: ambas requieren procedimientos formales.
  • Capacitación de personal: ambas la exigen.
  • Gestión de proveedores: ambas la abordan.
  • Documentación: ambas requieren políticas y registros.

Aproximadamente el 60-70% de los requisitos técnicos de la ley se cubren naturalmente con un SGSI ISO 27001 bien implementado. El 30-40% restante —que es el corazón de derechos y bases legales— queda sin cubrir.

Cómo ISO 27001 te ayuda a cumplir la ley

Una empresa con SGSI ISO 27001 vigente parte con varias ventajas en su camino hacia el cumplimiento de la ley de datos personales chile:

  1. Análisis de riesgos ya operativo: solo hay que extenderlo para incluir riesgos de privacidad (DPIA).

  2. Inventario de activos: ya existe; solo hay que mapearlo a tratamientos de datos personales.

  3. Controles técnicos implementados: cifrado, accesos, respaldos, monitoreo... ya están.

  4. Procedimiento de incidentes: ya existe; hay que ajustarlo para incluir notificación a la Agencia y titulares.

  5. Cultura organizacional: el personal ya está acostumbrado a auditorías y procesos formales.

  6. Documentación base: políticas de seguridad, control de accesos, gestión de proveedores ya están escritas.

En la práctica, una empresa con ISO 27001 puede llegar al cumplimiento de la ley en 3 a 6 meses. Una empresa sin SGSI puede tomar 9 a 18 meses para alcanzar el mismo nivel.

¿Y si solo tengo la ley pero no ISO 27001?

También funciona, pero tiene limitaciones. El cumplimiento de la ley sin un SGSI estructurado tiende a ser:

  • Reactivo: respondes a incidentes en lugar de prevenirlos sistemáticamente.
  • Fragmentado: políticas sueltas que no conversan entre sí.
  • Difícil de demostrar: ante una fiscalización, la falta de documentación formalizada juega en contra.
  • Costoso de mantener: cada nueva exigencia requiere un proyecto separado.

Para empresas que aspiran a contratar con clientes corporativos, sectores regulados (salud, financiero, retail) o el Estado, ISO 27001 se ha vuelto prácticamente un requisito de mercado, independiente de la ley.

La estrategia óptima: implementar en paralelo

Si tu empresa está partiendo desde cero, nuestra recomendación es implementar ambos en paralelo, con un proyecto integrado que reconozca las sinergias. Esto típicamente:

  • Reduce los costos de implementación en un 30 a 40% comparado con hacerlo por separado.
  • Acorta los plazos a 9 a 12 meses para una pyme mediana.
  • Genera una arquitectura de cumplimiento más coherente y mantenible.
  • Habilita la certificación ISO 27001 prácticamente sin costo adicional.

El secreto está en el diagnóstico inicial: identificar qué controles cubren ambos marcos y diseñar políticas y procedimientos que respondan a las dos lógicas a la vez.

Conclusión: ni uno ni otro, sino los dos

Volviendo a la pregunta del título: ¿es suficiente con uno? La respuesta es no, salvo que estés dispuesto a aceptar trade-offs importantes.

  • Solo ISO 27001: te deja expuesto a sanciones legales por incumplimiento de derechos de titulares.
  • Solo la Ley: te deja expuesto a fallas técnicas por falta de un SGSI estructurado.
  • Ambos integrados: te dan protección legal, técnica y reputacional, y abren puertas comerciales.

La pregunta correcta no es "uno u otro", sino cómo implementarlos eficientemente. Y ahí es donde la asesoría especializada hace la diferencia: cualquier consultor puede implementar uno por separado; pocos saben integrarlos sin duplicar esfuerzos.

Implementa ISO 27001 y la Ley de Datos Personales en un solo proyecto

En FideliNorm — MAC Consultores somos especialistas en cumplimiento normativo integrado. Diseñamos proyectos que abordan ISO 27001 Chile y la nueva Ley de Datos Personales de manera coordinada, evitando duplicidades y maximizando el retorno de cada peso invertido.

Solicita un diagnóstico de brechas y te mostramos exactamente qué tienes, qué te falta y cuál es la ruta más eficiente. Contáctanos o escríbenos a contacto@fidelinorm.cl.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →